Security Risk Management

Wie bereits festgestellt wurde, ergeben sich bei der Betrachtung von IT-Risiken große Schwierigkeiten bezüglich der genauen Erfassung und Zuordnung von Kosten, die direkt oder indirekt auf Bedrohungen der IT-Komponenten zurückzuführen sind. Um sich etwas mehr in diese Problematik einarbeiten zu können, werden im Folgenden einige spezielle Kosten aufgeführt. Diese Kostenarten werden nach direkten Kosten der Schäden und Aufwendungen zu deren Beseitigung dargestellt. Diese Unterscheidung ist sinnvoll, da beide Kostenblöcke im Zuge eines Security Risk Audits47 im Unternehmen getrennt untersucht werden müssen. Mögliche direkte Kosten die durch Schäden entstehen können:48 • • • • • • • • • • • • • Netzwerk-, Dienst- und Applikationsausfallzeiten Arbeitszeitausfall Produktionsausfall Umsatzausfall Lieferverzug Verlust von wichtigen Unternehmensdaten Service-Level-Agreement-Verletzungen Dateninkonsistenzen Rechtliche Folgen (Regressansprüche / Konventionalstrafen) Erhöhte Nutzungskosten für Internetzugangsdienste Wettbewerbsnachteile durch ineffiziente Prozesse Verlust von Marktanteilen Erhöhtes Einbruchsrisiko (logisch / physikalisch) [...]

Nach Erläuterung der möglichen IT-Risikotypen und der Vorstellung des TCOR-Ansatzes mit seiner Problematik der kurzfristigen Kostenreduktion stehen in diesem Kapitel die einzelnen Steuerungsmaßnahmen für die IT-Risiken des Unternehmens im Vordergrund der Betrachtung. Als Grundlage für die IT-Risikosteuerung können die Ergebnisse der IT-Risikoanalyse in Form einer IT-Risikomatrix dargestellt werden. Die IT-Risikomatrix gibt einen schematischen Überblick über die aktuelle IT-Risikosituation des Unternehmens. Zusätzlich liefert sie, wie in Abbildung 9 auf der folgenden Seite durch Pfeile angedeutet, Anhaltspunkte für nachfolgende Steuerungsmaßnahmen in Bezug auf einzelne IT-Risiken oder IT-Risikobereiche. Bei IT-Risikomatrizen werden die potenzielle Eintrittswahrscheinlichkeit und die zu erwartende Schadenshöhe in Relation zueinander gebracht und so verschiedene IT-Risikobereiche45 definiert, aus denen sich Steuerungsmaßnahmen ableiten lassen.46 IT-Risikomatrizen sind in der vorgestellten Form jedoch nicht dazu geeignet, Kosten die durch Schäden entstehen, mathematisch präzise zu berechnen! Für das Ergreifen einzelner Steuerungsmaßnahmen bereits bewerteter IT-Risiken stehen grundsätzlich vier Strategiealternativen der Risikobehandlung zur Verfügung: • Vermindern Es wird versucht, die Schadensauswirkungen von IT-Risiken zu reduzieren (z.B. Redundanzsysteme) Vermeiden Es wird versucht, die Schadensauswirkungen von IT-Risiken zu vermeiden (z.B. Verwendung starker Passwörter) Übergeben Es wird versucht, die Schadensauswirkungen von IT-Risiken an Dritte abzugeben (z.B. Diebstahlversicherung für Laptops) [...]

Es hat sich aber gezeigt, dass jeder Ansatz der IT-Kostensenkung bis zu einem gewissen Grad kompensiert wird. Im Extremfall führt eine einzelne unbedachte Maßnahme der IT-Kostensenkung sogar zur Erhöhung der Gesamtkosten für das Unternehmen. Mathematisch gesehen handelt es sich bei der Aufgabe der Senkung der Gesamtkosten um ein mehrdimensionales Optimierungsproblem, welches ohne Systemunterstützung praktisch nicht lösbar ist. Ein solches Tool könnte das IT-Risikomanagement in vielfältiger Weise unterstützen, indem es Folgendes ermöglicht: • • • • • • Die IT-Kosten zu erfassen, die im Unternehmen bereits bekannt sind Die IT-Kosten zu schätzen, die auf Basis vergleichbarer Risiken ermittelbar sind Die Unsicherheit von Schätzungen als zusätzliche ITRisikokosten zu integrieren Historiendaten der einzelnen IT-Risiken zu führen Simulationen und Prognosen durch statistische Methoden durchzuführen Das identifizierte Optimierungspotenzial auszuschöpfen [...]